Taurus 情報窃取マルウェアは、Predator The Thief チームによって作成され、ハッカーフォーラムで宣伝されている比較的新しいツールです。このインフォスティーラーは、ブラウザ、暗号通貨ウォレット、FTP、メールクライアント、およびさまざまなアプリから機密データを盗むことができます。このマルウェアは非常に回避性が高く、サンドボックス検出を回避する技術を含んでいます。攻撃者は、地理的位置に応じた感染数を顧客が監視できるダッシュボードを開発しました。このダッシュボードはまた、攻撃者に Taurus の設定をカスタマイズする能力を提供します。
安価で効果的なツールはサイバー犯罪者の目に留まり、6月の初め以来、研究者たちは 追跡しています Taurus Infostealer を配布する悪意のあるキャンペーン。攻撃者は、悪意のあるマクロコードを含む文書を添付したスパムメールを送信し、さらにペイロードをダウンロードします。ユーザーがマクロを有効にすると、AutoOpen() サブルーチンが呼び出され、悪意のある VBA マクロが実行され、BitsTransfer 経由で PowerShell スクリプトを実行し、Github サイトから3つの異なるファイルをダウンロードし、指定された名前で Temp フォルダに保存します。
独占脅威ハンティング Sigma ルール Osman Demir によって、Taurus マルウェアをインストールプロセス中に検出するためのセキュリティソリューションを可能にします: https://tdm.socprime.com/tdm/info/SCpXVANx2z2W/1HoNBXMBSh4W_EKGWceZ/?p=1
このルールは、次のプラットフォームに翻訳されています:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
タクティクス: 防御回避, 実行
技術:PowerShell (T1086), スクリプティング (T1064)
